Cyberthreat.id – Kelompok Gamaredon yang terkait dengan Rusia tidak berhasil masuk ke perusahaan penyulingan minyak besar di negara anggota NATO awal tahun ini di tengah perang Rusia-Ukraina yang sedang berlangsung.

Serangan, yang terjadi pada 30 Agustus 2022, hanyalah salah satu dari beberapa serangan yang diatur oleh Advanced Persistent Threat (APT) yang dikaitkan dengan Layanan Keamanan Federal (FSB) Rusia.

Gamaredon, juga dikenal dengan moniker Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, dan Winterflounder, memiliki sejarah terutama mengejar entitas Ukraina dan, pada tingkat lebih rendah, sekutu NATO untuk memanen data sensitif.

"Karena konflik terus berlanjut di lapangan dan di dunia maya, Trident Ursa telah beroperasi sebagai pembuat akses khusus dan pengumpul intelijen," kata Palo Alto Networks Unit 42 dalam sebuah laporan yang dibagikan kepada The Hacker News, Selasa (21/12)

"Trident Ursa tetap menjadi salah satu APT yang paling meresap, mengganggu, terus aktif, dan terfokus yang menargetkan Ukraina,” lanjutnya.

Pemantauan berkelanjutan Unit 42 terhadap aktivitas grup telah menemukan lebih dari 500 domain baru, 200 sampel malware, dan beberapa perubahan dalam taktiknya selama 10 bulan terakhir sebagai respons terhadap prioritas yang selalu berubah dan berkembang.

Di luar serangan dunia maya, komunitas keamanan yang lebih besar dikatakan telah menerima tweet ancaman dari rekan Gamaredon yang diklaim, menyoroti teknik intimidasi yang diadopsi oleh musuh.

Metode penting lainnya termasuk penggunaan halaman Telegram untuk mencari server perintah-dan-kontrol (C2) dan DNS fluks cepat untuk merotasi banyak alamat IP dalam rentang waktu singkat untuk mempersulit upaya penyangkalan dan penghapusan berbasis IP.

Serangan itu sendiri memerlukan pengiriman lampiran senjata yang disematkan dalam email spear-phishing untuk menerapkan backdoor VBScript pada host yang dikompromikan yang mampu membangun persistensi dan mengeksekusi kode VBScript tambahan yang disediakan oleh server C2.

Rantai infeksi Gamaredon juga telah diamati memanfaatkan geoblocking untuk membatasi serangan ke lokasi tertentu bersama dengan memanfaatkan executable dropper untuk meluncurkan muatan VBScript tahap berikutnya, yang kemudian terhubung ke server C2 untuk menjalankan perintah lebih lanjut.

Mekanisme geoblocking berfungsi sebagai titik buta keamanan karena mengurangi visibilitas serangan aktor ancaman di luar negara yang ditargetkan dan membuat aktivitasnya lebih sulit dilacak.

“Trident Ursa tetap merupakan APT yang gesit dan adaptif yang tidak menggunakan teknik yang terlalu canggih atau rumit dalam pengoperasiannya,” kata para peneliti. "Dalam kebanyakan kasus, mereka mengandalkan alat dan skrip yang tersedia untuk umum – bersama dengan sejumlah besar kebingungan – serta upaya phishing rutin untuk berhasil menjalankan operasi mereka," lanjutnya.